Записи с меткой «NTFS»

Первый месяц 2013 года не преподнес сюрпризов — видимо, сказались долгие новогодние каникулы, на время которых вирусописатели перебрались в теплые края. Основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok, а также появление новых угроз как для операционной системы Windows, так и для мобильной платформы Android.

Вирусная обстановка

В январе 2013 года в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Напомним, что Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 года, стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. Иными словами, этот троянец заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS. При этом Trojan.Mayachok.2 снабжен драйверами как для 32-разрядной, так и для 64-разрядной версий Microsoft Windows. Основное функциональное назначение этой вредоносной программы — блокировка доступа в Интернет и демонстрация в окне браузера предложения скачать «обновление безопасности», для загрузки которого жертве следует указать в соответствующей форме свой номер мобильного телефона и ввести пришедший в ответном СМС код. Таким образом пользователь соглашается с условиями платной подписки, за которую с его счета мобильного телефона будет регулярно списываться определенная сумма.

screen

screen

screen

Поскольку вредоносный объект, подменяющий просматриваемые пользователем веб-страницы, находится в оперативной памяти компьютера, переустановка браузеров, использование служебной программы «Восстановление системы» и даже запуск Windows в режиме защиты от сбоев не позволяют избавиться от троянца. Наиболее эффективным методом лечения заражения является только сканирование инфицированного компьютера с помощью лечащих утилит Dr.Web CureIt! и Dr.Web LiveCD. Подробный технический анализ данной угрозы приведен в опубликованной нами статье.

Соответственно, среди обнаруженных утилитой Dr.Web CureIt! угроз велико количество детектов троянца Trojan.Mayachok в оперативной памяти инфицированных компьютеров (более 40 000 случаев), также в январе на компьютерах пользователей часто выявлялся троянец Trojan.Mayachok.18550. По-прежнему чрезвычайно распространены среди пользователей ПК платные архивы, детектируемые антивирусным ПО Dr.Web как семейство угроз Trojan.SMSSend, велико число заражений троянской программой BackDoor.IRC.NgrBot.42. Сводные данные о 20 наиболее распространенных угрозах, обнаруженных в январе 2013 года на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, представлены в опубликованной ниже таблице:

Название %
Trojan.MayachokMEM.4 4.85
Trojan.Mayachok.2 2.39
Trojan.SMSSend.2363 2.26
Trojan.Mayachok.18550 1.50
BackDoor.IRC.NgrBot.42 0.94
Trojan.BhoSiggen.6713 0.87
Trojan.StartPage.48148 0.85
Trojan.DownLoader7.16737 0.75
Win32.HLLP.Neshta 0.71
Trojan.Hosts.5268 0.66
Win32.HLLW.Phorpiex.54 0.64
Trojan.Mayachok.18024 0.60
Trojan.Mayachok.18397 0.59
Win32.Sector.22 0.54
Trojan.Mayachok.17994 0.53
Trojan.Mayachok.1 0.47
Win32.HLLW.Gavir.ini 0.46
Trojan.Click2.47013 0.46
BackDoor.Butirat.245 0.45
Trojan.Mayachok.18566 0.45

Ботнет BlackEnergy возрождается

В январе 2013 года специалистами компании «Доктор Веб» было зафиксировано появление новой модификации вредоносной программы BlackEnergy, получившей наименование BackDoor.BlackEnergy.36. О ликвидации бот-сети BlackEnergy — крупнейшего ботнета, предназначенного для рассылки спама — летом 2012 года сообщили многие мировые СМИ. В период своей максимальной активности бот-сеть BlackEnergy рассылала более 18 миллиардов писем в день, однако благодаря усилиям специалистов по информационной безопасности уже к осени прошлого года основные управляющие серверы BlackEnergy были ликвидированы, а к началу зимы активность ботнета практически сошла на нет.

Однако уже в январе 2013 года злоумышленники предприняли попытку создания новой бот-сети с использованием вредоносной программы BackDoor.BlackEnergy.36. Основных отличий этой модификации троянца от его предыдущих редакций два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром. В первое время злоумышленники не отдавали ботам каких-либо команд, вероятно, ожидая, пока растущий ботнет достигнет определенных размеров, однако вскоре с использованием бот-сети была предпринята попытка DDoS-атаки на один из популярнейших в российском Интернете развлекательных ресурсов. Троянец был обнаружен в ходе мониторинга деятельности другого широко распространенного ботнета — BackDoor.Andromeda. Более подробную информацию об этой угрозе можно почерпнуть из опубликованного на сайте drweb.com новостного материала.

Угрозы для Android

Большая популярность мобильных устройств под управлением ОС Android привела к закономерному увеличению интереса злоумышленников к персональной информации, хранимой на таких устройствах. Наметившаяся в 2012 году тенденция к увеличению числа вредоносных и потенциально опасных приложений, предназначенных для получения различных конфиденциальных сведений, продолжилась и с началом нового 2013 года.

Так, в начале января был обнаружен очередной Android-троянец, который представлял угрозу для японских пользователей и предназначался для кражи сведений, содержащихся в телефонной книге их мобильных устройств. Как и другие подобные вредоносные приложения, Android.MailSteal.2.origin распространялся при помощи спам-писем, которые содержали предложение установить ту или иную полезную программу. Перейдя по указанной ссылке, доверчивый пользователь попадал на сайт, имитирующий официальный каталог Google Play, и, ничего не подозревая, мог установить себе троянца. Примечательно, что злоумышленники попытались разнообразить «каталог», предлагая к загрузке сразу несколько различных «приложений», однако во всех случаях это была одна и та же вредоносная программа. В процессе работы Android.MailSteal.2.origin действовал по уже отработанной схеме: после запуска он уведомлял пользователя о выполнении предварительной настройки, однако через некоторое время сообщал о невозможности работы на целевом мобильном устройстве. Одновременно с этим троянец скрытно выполнял поиск контактов в телефонной книге и при их обнаружении загружал соответствующую информацию, такую как адреса электронной почты и номера телефонов, на удаленный сервер. Полученные сведения в дальнейшем могут быть использованы злоумышленниками для организации новых спам-кампаний или для продажи на черном рынке.

screen

Также в январе специалистами «Доктор Веб» было обнаружено существенное число новых коммерческих шпионских приложений: Program.SpyMob.origin, Program.MSpy.2.origin, Android.Phoggi.1.origin, Program.OwnSpy.1.origin, Program.Copyten.1.origin, Program.Spector.1.origin. Кроме того, в вирусные базы были внесены сведения о модификациях этих шпионских программ, доступных для мобильной платформы BlackBerry. Ими стали BlackBerry.Phoggi, Program.Spector.1, Program.Spector.2, Program.Spector.3.

Напомним, что коммерческие шпионские программы позволяют контролировать самые разнообразные функции мобильных устройств: отслеживать СМС-переписку, входящие и исходящие телефонные звонки, получать GPS-координаты пользователя и т. д. Помимо легального применения, очень часто такое программное обеспечение может быть использовано без ведома владельца устройства, поэтому его конфиденциальная информация может подвергаться существенному риску. Большое число новых семейств коммерческих шпионских приложений, обнаруженных в январе, говорит о том, что на подобные услуги имеется достаточный спрос, и число таких программ в ближайшее время будет стабильно увеличиваться.

screen

Другие угрозы января

В начале января 2013 года специалистами компании «Доктор Веб» была обнаружена новая троянская программа BackDoor.Finder, получившая наиболее широкое распространение на территории США. Троянец встраивается в процессы наиболее популярных браузеров (Microsoft Internet Explorer, Mozilla Firefox, Maxtron, Chrome, Safari, Mozilla, Opera, Netscape или Avant), после чего перехватывает обращения пользователей к сайтам различных поисковых систем (google.com, bing.com, yahoo.com, ask.com, search.aol.com, search.icq.com, search.xxx, http://www.wiki.com, http://www.alexa.com или yandex.com) и демонстрирует вместо результатов поиска специально подготовленные злоумышленниками ссылки. Подробнее об этой вредоносной программе можно прочитать в опубликованной на нашем сайте статье.

Также в январе был зафиксирован факт распространения новой модификации давно известной вредоносной программы семейства BackDoor.ButiratBackDoor.Butirat.245. Данный троянец способен загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов. Дополнительные сведения о данной угрозе можно получить в размещенном на сайте drweb.com новостном материале.

Вредоносные файлы, обнаруженные в почтовом трафике в январе

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.Redirector.162 1.11%
2 Trojan.PWS.Stealer.1932 0.73%
3 Win32.HLLM.MyDoom.54464 0.64%
4 Trojan.Oficla.zip 0.58%
5 BackDoor.Andromeda.22 0.54%
6 Trojan.PWS.Panda.547 0.47%
7 Trojan.PWS.Panda.655 0.47%
8 Win32.HLLM.MyDoom.33808 0.45%
9 Trojan.Winlock.7048 0.45%
10 Trojan.Packed.23728 0.41%
11 Win32.HLLM.Beagle 0.36%
12 Trojan.Inject.64560 0.36%
13 Win32.HLLM.Netsky.35328 0.26%
14 VBS.Rmnet.2 0.26%
15 Trojan.PWS.Stealer.715 0.26%
16 Win32.HLLM.Graz 0.26%
17 Trojan.PWS.Panda.2401 0.26%
18 BackDoor.Bebloh.21 0.24%
19 Trojan.PWS.Panda.786 0.24%
20 Win32.HLLM.Netsky.18401 0.24%

Вредоносные файлы, обнаруженные в январе на компьютерах пользователей

 01.01.2013 00:00 — 31.01.2013 23:00
1 JS.IFrame.363 0.75%
2 Tool.Unwanted.JS.SMSFraud.26 0.73%
3 SCRIPT.Virus 0.56%
4 Adware.Downware.774 0.47%
5 Tool.Unwanted.JS.SMSFraud.10 0.42%
6 Adware.Downware.179 0.41%
7 JS.IFrame.387 0.40%
8 Tool.Unwanted.JS.SMSFraud.30 0.38%
9 Adware.InstallCore.53 0.34%
10 Trojan.Fraudster.394 0.34%
11 Adware.Webalta.11 0.33%
12 Tool.Skymonk.11 0.32%
13 Trojan.SMSSend.2363 0.30%
14 JS.Redirector.175 0.29%
15 Trojan.Hosts.6613 0.28%
16 Win32.HLLW.Shadow 0.28%
17 Win32.HLLW.Autoruner.59834 0.27%
18 Adware.Downware.804 0.26%
19 Trojan.Fraudster.245 0.25%
20 JS.IFrame.356 0.25%

Документ Microsoft Office Word

Очень подробная инструкция в картинках

Acronis True Image

Acronis True Image

Acronis True Image

Acronis True Image

Acronis True Image

Acronis True Image

Подробнее в документе WORD

В первой половине октября 2012 года был замечен резкий всплеск активности троянцев-шифровальщиков — от пользователей поступало значительное число запросов на лечение файлов, подвергшихся воздействию данных вредоносных программ. Также в октябре наметилась активизация почтовых рассылок, содержащих вредоносные вложения: по каналам электронной почты активно распространялся троянец Trojan.Necurs.97, а в начале месяца злоумышленники организовали массовую вредоносную рассылку с использованием Skype.

Вирусная обстановка

Среди угроз, детектированных в октябре с использованием лечащей утилиты Dr.Web CureIt!, лидирует Trojan.Mayachok различных модификаций, при этом на дисках чаще всего обнаруживаются файлы троянца BackDoor.IRC.NgrBot.42, которые он передает. На втором месте по частоте обнаружений значатся файлы, содержащие уязвимость Java Runtime Environment (JRE) Exploit.CVE2012-1723.13, на третьем месте расположился троянец Trojan.Mayachok.17994, а вот абсолютный лидер летней вирусной статистики, Trojan.Mayachok.1, сместился уже на четвертую позицию. Помимо прочего, среди часто встречающихся на компьютерах пользователей угроз следует отметить многочисленные модификации троянцев семейства Trojan.SMSSend, а также вредоносные программы Win32.HLLP.Neshta (файловый вирус, известный еще с 2005 года), Trojan.Mayachok.17986, полиморфный файловый инфектор Win32.Sector.22, бэкдоры BackDoor.IRC.NgrBot.146 и BackDoor.Butirat.201. Десятка наиболее популярных вредоносных программ, обнаруженных на инфицированных компьютерах с использованием лечащей утилиты Dr.Web CureIt!, показана в представленной ниже таблице.

Угроза %
Trojan.MayachokMEM.4 2,34
BackDoor.IRC.NgrBot.42 2,18
Exploit.CVE2012-1723.13 1,64
Trojan.Mayachok.17994 1,47
Trojan.Mayachok.1 1,29
Java.Downloader.697 1,18
Trojan.SMSSend.2363 0,96
Win32.HLLP.Neshta 0,93
Trojan.Mayachok.17986 0,82
Win32.Sector.22 0,71

Распределение обнаруженных в течение месяца угроз по классам показано на следующей диаграмме:

screen

Ботнеты

Специалисты компании «Доктор Веб» продолжают отслеживать статистику изменения численности наиболее активных на сегодняшний день бот-сетей. Так, широко известный ботнет Backdoor.Flashback.39, который составляют инфицированные компьютеры под управлением операционной системы Mac OS X, в течение месяца сократился очень незначительно: по данным на 30 октября популяция этого троянца составляет 105730 инфицированных «маков», в то время как на 30 сентября число зараженных «макинтошей» не превышало 109372. Прирост бот-сети Backdoor.Flashback.39 практически остановился, однако владельцы Apple-совместимых компьютеров, судя по всему, не торопятся проводить антивирусную проверку своих машин, чтобы окончательно избавиться от данного троянца.

Как и предполагалось ранее, в начале октября бот-сеть Win32.Rmnet.12 преодолела по числу зараженных ПК пятимиллионную отметку, а к концу месяца достигла пяти с половиной миллионов инфицированных рабочих станций, побив по темпам прироста сентябрьский рекорд. Динамика изменения численности этого ботнета показана на приведенном ниже графике:

screen

Как уже упоминалось ранее, файловый вирус Win32.Rmnet.12 наиболее широко распространен в странах Юго-Восточной Азии, однако зафиксированы случаи заражения и на территории России — всего в нашей стране насчитывается 132445 машин, инфицированных файловым вирусом Win32.Rmnet.12, что составляет 2,39% от общей численности ботнета. При этом максимальное количество экземпляров Win32.Rmnet.12 по статистике обнаружилось в Москве (18,9% от общего числа заражений по России), на втором месте — Хабаровск с показателем 13,2%, почетное третье место занимает Санкт-Петербург (8,9%), далее следуют Ростов-на-Дону (5,2%), Владивосток (3,4%) и Иркутск (2,9%).

Численность ботнета Win32.Rmnet.16 также понемногу продолжает увеличиваться — динамику этого процесса можно проследить на представленной ниже диаграмме. Общая численность сети на 30 октября 2012 года составила 254838 инфицированных ПК, что на 16373 компьютера больше по сравнению с показателями на начало месяца.

screen

Вредоносный спам

В октябре 2012 года был отмечен рост числа рассылок вредоносных программ с использованием различных средств коммуникации: так, начало месяца ознаменовалось массовым распространением сообщений с использованием программы Skype. Рассылаемые злоумышленниками послания содержали короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки на компьютер жертвы начиналась загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляла вредоносная программа, добавленная в базы Dr.Web под именем Trojan.Spamlink.1.

screen

Во второй половине октября активизировались злоумышленники, использующие в своих целях электронную почту. Поступавшие пользователям письма рассылались от имени интернет-магазина Amazon.com, корпорации Microsoft, почтовой службы FedEx, также были замечены массовые рассылки якобы от имени платежной системы PayPal с сообщением о переводе средств, и нескольких авиакомпаний с предложением подтвердить бронирование авиабилета. В большинстве случаев подобное сообщение содержало ссылку на веб-страницу, включающую сценарий, при выполнении которого посетитель переадресовывался на другой веб-сайт. В свою очередь этот сайт передавал браузеру файл, содержащий сценарий на языке JavaScript, при выполнении которого на компьютер пользователя загружались две вредоносные программы: широко известный троянец-загрузчик BackDoor.Andromeda.22 и вредоносная программа Trojan.Necurs.97. Мы подробно рассказывали о подобных вредоносных рассылках в одном из своих новостных материалов, но по-прежнему рекомендуем пользователям проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников.

Наконец, в последних числах октября кибермошенники организовали массовую СМС-рассылку якобы от имени компании «Доктор Веб», в сообщениях которой пытались вынудить пользователей «отписаться» от некоей информационной услуги, а на самом деле — заставить их подключиться к псевдоподписке с абонентской платой. Принадлежащие злоумышленникам веб-сайты были незамедлительно добавлены специалистами Dr.Web в базы нерекомендуемых ресурсов.

Угрозы для Android

С точки зрения угроз для мобильной платформы Android октябрь 2012 года прошел относительно спокойно. В течение месяца вирусные базы D.Web пополнились записями для нескольких вредоносных программ семейства Android.SmsSend. Напомним, что эти троянцы представляют опасность тем, что в процессе своей работы выполняют отправку дорогостоящих СМС-сообщений и подписывают владельцев мобильных устройств на различные контент-услуги, за пользование которыми взимается определенная денежная сумма.

Также в базы была добавлена запись для троянца Android.FakeLookout.1.origin, распространявшегося в каталоге Google Play под видом некоего программного обновления. Эта вредоносная программа имела возможность красть пользовательские СМС-сообщения, а также различные файлы, находящиеся на карте памяти, и отправлять их на удаленный сервер. Несмотря на потенциальную опасность раскрытия частной информации, троянец не является серьезной угрозой для пользователей Android, т. к. на момент удаления из каталога его успели установить не более 50 человек.

Ко всему прочему, в октябре была обнаружена новая модификация вредоносной программы семейства Android.Gongfu, внесенная в вирусные базы под именем Android.Gongfu.10.origin.

Угроза месяца: Trojan.GBPBoot.1

Одной из наиболее интересных вредоносных программ, обнаруженных в октябре сотрудниками антивирусная лаборатории компании «Доктор Веб», можно назвать троянца, получившего наименование Trojan.GBPBoot.1.

С точки зрения реализуемых данной вредоносной программой функций, Trojan.GBPBoot.1 можно назвать довольно примитивным: он способен загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы. Этим его деструктивный функционал исчерпывается. Однако интересна эта вредоносная программа прежде всего тем, что имеет возможность серьезно противодействовать попыткам ее удаления.

В процессе заражения компьютера один из модулей троянца модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. Сама вредоносная программа реализована в виде библиотеки, которая регистрируется на инфицированном компьютере в качестве системной службы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

В антивирусном ПО Dr.Web реализованы механизмы поиска и лечения данной угрозы, включая функцию восстановления поврежденной загрузочной записи. Более подробно узнать о внутреннем устройстве троянца Trojan.GBPBoot.1 можно из опубликованного компанией «Доктор Веб» информационного материала.

Другие угрозы октября

В начале октября специалистами «Доктор Веб» было зафиксировано распространение вредоносной программы Trojan.Proxy.23012, предназначенной для массовой рассылки спама. С подробной информацией об этой угрозе можно ознакомиться в соответствующей статье, опубликованной на сайте news.drweb.com.

Отдельный информационный материал был посвящен троянцу-загрузчику, активно распространявшемуся в октябре с использованием ресурсов пиринговой сети Trojan.PWS.Panda.2395. Данная вредоносная программа характеризуется весьма любопытным механизмом заражения, подробно описанным в опубликованной на сайте Dr.Web обзорной статье.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2012 00:00 — 31.10.2012 23:00
1 Trojan.Necurs.97 1.40%
2 Trojan.Oficla.zip 1.20%
3 JS.Redirector.145 1.13%
4 Trojan.PWS.Stealer.946 0.84%
5 JS.Redirector.150 0.80%
6 Win32.HLLM.MyDoom.54464 0.58%
7 Exploit.CVE2010-3333.6 0.53%
8 BackDoor.Andromeda.22 0.53%
9 Trojan.PWS.Panda.786 0.47%
10 Trojan.DownLoader6.56603 0.47%
11 Win32.HLLM.MyDoom.33808 0.42%
12 Trojan.Siggen4.25819 0.42%
13 BackDoor.Kuluoz.3 0.38%
14 Trojan.Packed.18626 0.36%
15 Trojan.DownLoader7.6770 0.31%
16 Win32.HLLM.Beagle 0.31%
17 Win32.HLLM.Netsky.35328 0.29%
18 Trojan.PWS.UFR.2334 0.29%
19 Trojan.Winlock.6566 0.27%
20 SCRIPT.Virus 0.24%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2012 00:00 — 31.10.2012 23:00
1 Adware.Downware.533 0.82%
2 SCRIPT.Virus 0.51%
3 Tool.Unwanted.JS.SMSFraud.10 0.38%
4 Adware.Downware.179 0.34%
5 Tool.Skymonk.6 0.31%
6 Trojan.Fraudster.329 0.31%
7 Trojan.Fraudster.296 0.30%
8 Adware.Downware.426 0.29%
9 Win32.HLLW.Autoruner.59834 0.27%
10 Win32.HLLW.Shadow 0.27%
11 Tool.Unwanted.JS.SMSFraud.15 0.26%
12 Trojan.Fraudster.320 0.26%
13 Trojan.Fraudster.344 0.25%
14 Trojan.Fraudster.347 0.25%
15 Adware.InstallCore.53 0.25%
16 Trojan.Siggen4.23472 0.24%
17 JS.IFrame.317 0.23%
18 Exploit.CVE2012-1723.13 0.23%
19 Trojan.SMSSend.2363 0.23%
20 Adware.Downware.316 0.23%

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления.

С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Антивирусное ПО Dr.Web располагает механизмами обнаружения и лечения данной угрозы, в том числе позволяет восстанавливать поврежденную загрузочную запись, поэтому Trojan.GBPBoot.1 не представляет серьезной опасности для пользователей продуктов «Доктор Веб».

ИСТОЧНИК

Dr.Web

АНАЛИТИКА

Информационный бюллетень №3. Уязвимость систем защиты от вредоносных программ локальных сетей компаний


ГЛАВНЫЕ НОВОСТИ

26 июля 2012 года
«Доктор Веб» ждет вас на Дне сисадмина: от Калуги до Новосибирска!
Компания «Доктор Веб» примет участие в мероприятиях, посвященных профессиональному празднику системных администраторов, в шести регионах России. Все желающие смогут поучаствовать в конкурсах «Доктор Веб», получить призы и подарки, пообщаться с представителями компании в неформальной обстановке и узнать все о продуктовой линейке, а также новинках Dr.Web.

25 июля 2012 года
Личный кабинет для пользователей бизнес-продуктов Dr.Web
Выпущена первая версия личного кабинета для пользователей бизнес-продуктов Dr.Web.

25 июля 2012 года
Новый кросс-платформенный троянец берет под контроль «маки» и компьютеры на базе Windows
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении опасной кросс-платформенной троянской программы, с использованием которой злоумышленники получают полный контроль над инфицированным компьютером, а также могут уничтожить операционную систему. Это вредоносное приложение, получившее название BackDoor.DaVinci.1, способно работать как в ОС Microsoft Windows, так и в Mac OS X. При этом в версии для Mac OS X злоумышленники впервые применили руткит-технологии для скрытия процессов и файлов троянца.

24 июля 2012 года
В Twitter зафиксирована очередная спам-рассылка
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении в популярной социальной сети Twitter спам-сообщений на русском языке, содержащих ссылку, ведущую в зависимости от используемого браузера либо на мошеннический сайт, либо на ресурс, с которого выполняется загрузка вредоносных программ для мобильных устройств.

26 июля 2012 года
Новый Троянец-загрузчик научился работать с файловой системой NTFS
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянский программы Trojan.Yaryar.1. Одна из характерных особенностей данного троянца-загрузчика заключается в том, что он умеет работать непосредственно со структурами NTFS, а также обладает обширным функционалом по выявлению средств отладки и анализа.

R-Studio — программа для восстановления поврежденной или удаленной информации. R-Studio имеет простой интерфейс, может работать как с локальными дисками, так и в сети, поддерживает работа со следующими операционными системами: FAT12, FAT16, FAT32, NTFS, NTFS5, Ext2FS. Кроме того, программа позволяет создавать образы целых дисков, разделов или их частей, восстанавливать данные даже в тех случаях, когда использовалась утилита FDISK, нарушены FAT или MBR.

Скриншот главного окна R-Studio 

Получить R-Studio v.6.0 Build 151275 можно по следующим адресам (Shareware):

ИСТОЧНИК

R-Studio это группа надежных, эффективных и рентабельных утилит для восстановления данных с жестких дисков, а также других устройств — таких, как CD, DVD, дискет, USB дисков, ZIP дисков и устройств флеш-памяти (Compact Flash Card, Memory Sticks). Основанная на новейшей уникальной технологии анализа информации на носителе и обработки данных, R-Studio является наиболее исчерпывающим программным решением из доступных на рынке утилит восстановления для файловых систем FAT12/16/32/exFAT, NTFS, NTFS5 (созданных или изменненых в Windows 2000/XP/2003/Vista/Win7), HFS/HFS+ (Macintosh), Little and Big Endian variants of UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) и Ext2/Ext3/Ext4 FS (Linux). Программа функционирует как на локальных, так и на удаленных компьютерах по сети, даже если разделы дисков были форматированы, повреждены или удалены. Удобный в установке параметров интерфейс программы дает пользователю абсолютный контроль над процессом восстановления данных.

R-Studio это полнофункциональная утилита для восстановления данных. Также в состав R-Studio входят:

  • Модуль реконструкции RAID
  • Универсальный текстовый/шестнадцатиричный редактор, обладающий широким диапазоном возможностей
  • Отдельный модуль резервного копирования системы и данных (копирования диска), что позволяет считать R-Studio наиболее оптимальным и полным решением при создании рабочей станции для восстановления данных.

R-Studio утилиты восстанавливают файлы:

ИСТОЧНИК

Я получаю много писем с просьбами написать статью о твердотельных накопителях, осветить их плюсы/минусы, выразить свое мнение. Прежде всего: спасибо большое всем кто мне писал. Благодаря этому я смог ускорить процесс записи этого материала, коему уделял больше времени и внимания.

Сразу хочу сказать, что мое отношение к SSD пока негативное, и в этой статье я обосную свою точку зрения.

Поехали!

Введение

Solid State Drive (SSD) или по-русски: твердотельный накопитель, это устройство, которое было призвано отправить в анналы истории жесткие диски.

Если традиционный жесткий диск — это точнейшая механика, первоклассная электроника и невероятная уязвимость перед физическими воздействиями, то SSD — это ячейки памяти и контроллер, по сути просто «флешка», но объемом как жесткий диск.

sandisk_ssd

SSD задумывался как супербыстрая память для компьютеров и ноутбуков, которая позволит навсегда распрощаться с «тормозами» и зависаниями от перегрузки. У нее большие перспективы роста емкости. И при этом, вы можете сбросить накопитель с пятого этажа на голый асфальт, и с вероятностью 70% он не пострадает вообще…

Но всё это — в идеале. Но что же на деле?

Да, SSD минимум в два раза быстрее жесткого диска. Да, в них полностью отсутствует механика и связанные с этим проблемы. Да, они абсолютно бесшумные и потребляют минимум энергии.

Но…

Факт 1: Емкость

ocz_ssd_sata2-020708На заре SSD все компании наперебой твердили, что, мол, «уже скоро мы с Вами увидим SSD объемом в несколько терабайт, который будет дешевле жесткого диска!».

В реальности этого не произошло. Флеш-память развивалась не так быстро, как многим хотелось. Да и сейчас эти темпы не увеличились. На полках магазинов мы видим накопители МАКСИМУМ объемом в 512 ГБ (об их заоблачной цене поговорим позже).

Обычный же «рядовой» пользователь разве что может себе позволить раскошелиться максимум на 128 ГБ накопитель за несколько сотен долларов. Согласитесь, что в эпоху 4-терабайтных жестких дисков 128 ГБ (или ниже) — это просто возмутительно смешно.

Пользователю, который занимается серьезной работой на своем ПК такого объема явно недостаточно. И профессионалы поймут меня.

Для ноутбука, который работает в формате «проверить почту, посидеть в сети и посмотреть кинишку» — более чем, но не для рабочих станций или игровых ПК…

Кто-то скажет, что «такого объема хватит для того, чтобы установить Windows и другие программы». Хорошо, я установлю операционную систему на SSD, но какой в этом смысл, если все файлы хранятся на жестком диске?

Даже если мой видеоредактор будет запускаться с SSD за пару секунд, то ему придется умерить пыл, работая с жестким диском, на котором лежит обрабатываемое HD-видео. И это только один пример…

Вердикт: объемы нынешних SSD еще слишком малы, чтобы рассматривать их в полном смысле слова, как «накопители данных». К тому же, емкость SSD нужно очень четко соотносить со стоимостью, о которой мы сейчас поговорим.

 

Факт 2: Стоимость

Вы можете ознакомиться со стоимостью SSD накопитлей в любом интернет магазине. Приведу примеры:

Kingston 32 GB — 2500 рублей. Про объем молчим: в некоторых фотоаппаратах и видеокамерах устанавливают больше. Этого будет маловато даже для установки «голой» Windows 7 (что останется-то?!).

Kingston 256 GB — 10 000 рублей. Объем хоть и мал, но уже минимально достаточен. Но цена просто убивает. Это при том, что жесткий диск на 250 ГБ стоит всего 2300 рублей.

Думаю, что этим всё сказано…

Кто-то скажет, что «за супербыстрый накопитель можно отдать такие деньги!». Согласен. Только согласитесь, что скорость должна идти не в ущерб надежности, не так ли?

А вот это самое интересное…

Факт 3: Надежность

Как я уже отмечал, SSD мало боится физических воздействий, тряски, вибраций, и т.д. Многие производители стали даже производить «огнеупорные» и «водостойкие» SSD!!!

Но на самом деле, рассуждения о ФИЗИЧЕСКОЙ надежности SSD уводят нас от самого главного, серьезнейшего их недостатка. Возможно более серьезного, чем недостатки жесткого диска…

Первый аспект: ресурс ячеек

nand_600Как вы знаете, SSD представляет собой набор ячеек памяти. В отличии от магнитной пластины жесткого диска, которая может быть перезаписана миллионы раз, ячейки памяти имеют ограниченный срок службы. И тут «кто в лес, кто по дрова».

На некоторых моделях SSD ячейки поддерживают максимум 5-10 тысяч циклов записи/стирания, а на самых лучших образцах — максимум 100-200 тысяч циклов. Цифры кажутся большими только на первый взгляд.

Каждый, кто приобретал компьютер в первый раз — помнит, как наблюдал за маленьким красным индикатором на корпусе, который мигает постоянно, если в системе производятся какие-то действия. Этот самый индикатор показывает нам активность жесткого диска и наяву показывает каждому, что жесткий диск находится постоянно в работе.

К нему обращается прежде всего — сама операционная система, с фоновыми процессами, скрытыми от глаз пользователя. А уже потом: программы и сам пользователь. Диск, на котором установлена операционная система (не важно какая) — постоянно получает запросы либо на чтение либо на запись.

И дело в том, что таких запросов только за один день может набежать несколько тысяч. Добавьте к этому активность пользователя и программ, которые при работе читают, вносят изменения и записывают данные в файлы — и Вы увидите, что количество циклов перезаписи даже в 200 000 — это чертовски мало.

Это доказывает практика! Существует множество примеров того, как пользователи SSD «убивают» свои дорогостоящие накопители буквально за пару-тройку месяцев, при этом недоумевая: «Почему?! Ведь я же не нагружал их сильно!»

В качестве примера — процессы, которые быстро выводят из строя SSD:

— Дефрагментация. Это зло №1. При этом процессе выполняется ОГРОМНЕЙШЕЕ количество операций чтения/записи. Для жесткого диска это не проблема, ему это абсолютно всё равно; но SSD теряет свой ресурс буквально на глазах.

— Системные журналы. Windows постоянно ведет учет системных событий, записывая мало-мальски существенные данные в журнал. За день может набежать добрых несколько сотен пунктов! Это тоже серьезная нагрузка для ресурса SSD.

— Сама файловая система NTFS. Как известно, это журналируемая файловая система. А этот процесс может «убить» SSD невероятно быстро!

— Кэширование. Многие программы (фото и видео редакторы например) во время работы очень многие данные хранят не в оперативной памяти, а в файле кэша на накопителе. Естественно, эта информация активно используется в работе и потому опять же — сильно нагружает SSD.

И т.п.

Но даже если отключить ведение журнала системы, отключить журналирование NTFS, запретить дефрагментацию и не использовать кэширование — это не спасет.

Да, вы продлите срок службы SSD с 3-4 месяцев до 1-2 лет. Но что это меняет?!

Используя жесткий диск вы знаете, что его срок службы измеряется только годами (износ механики). Вы можете использовать его круглосуточно, но свои 4-5 лет он отработает. А в случае SSD вы знаете, что чем активнее вы работаете на компьютере, тем меньше вашему SSD осталось «жить».

Отсюда парадокс: SSD был разработан для активных пользователей, кому нужна скорость; но вместе с тем, он не переносит этой самой активности. Будем надеяться, что в будущем производители придумают и сделают массовыми ячейки памяти с неограниченным сроком службы.

Но и в этом случае остается еще одна проблема…

Второй аспект: надежность хранения

Broken hdd data lossНа пластинах жесткого диска информация хранится четко и последовательно. Поскольку современные версии Windows выполняют дефрагментацию, то можно сказать что данные хранятся так же более-менее логично. Так, что в случае потери ее относительно проще восстановить.

Скажем, если жесткий диск заполнен только наполовину — то и физически используется только половина площади пластин дисков.

В случае с SSD это недопустимо. Поскольку ячейки имеют ограниченный срок службы, нужно позаботиться об их равномерном износе. Чтобы не было такого, что половина ячеек памяти износились «в ноль», а вторая половина осталась целой и невредимой.

Для этого, контроллер SSD осуществляет принудительную фрагментацию ВСЕХ хранящихся на SSD файлов. Принудительно и постоянно. Пользователь даже не знает о том, что текстовый файл в 100 КБ хранится в разбросанном виде по всем чипам памяти в SSD, какие только есть.

Это безусловно плохо. Фактически, такая схема сродни шифрованию. Если выходит из строя контроллер (что бывает ооочень часто) — данные с SSD восстановить просто НЕВОЗМОЖНО. Ни при каких обстоятельствах. Даже для лабораторий это наитруднейшая задача.

В случае выхода из строя жесткого диска — нет необходимости собирать все данные по кусочкам по всей площади дисков. Можно восстановить информацию последовательным считыванием — с самой первой дорожки по последнюю. И данные считаются в полном объеме, корректно.

Если последовательно считывать SSD — получаем бессмысленный набор битов, ведь «одному контроллеру известно», что там от чего и где лежало. А он ушел, унеся с собой эту тайну…

Факт 4: Скорость

ssd speed meterВот мы и добрались к тому самому преимуществу, которое свято лелеют производители SSD и выставляют его как «железный аргумент» в ответе на вопрос, почему SSD лучше жестких дисков.

Здесь тоже не все так прямолинейно, как может показаться.

Дело в том, что быстродействие при записи, скажем, одного файла размером 1 ГБ и тысячи файлов по 1 МБ — разная. Работа с одном файлом происходит всегда В РАЗЫ быстрее, чем с набором файлов аналогичного размера.

И снова, как ни странно, быстродействие жесткого диска при работе с мелкими файлами — чаще намного лучше, чем у SSD. Слабым местом становится контроллер SSD, который не справляется с напором данных.

Проблема не решена до сих пор. Снова надеемся на будущее и ждем первых по-настоящему скоростных образцов.

Итоги

Итак, что можно сказать про SSD сегодня?

Совершенно очевидно, что для массового применения в компьютерах — они не годны. Высокая стоимость, малый объем, и абсолютная непригодность к интенсивной эксплуатации.

Сегодня SSD годны разве что для ноутбуков. Да, пусть объем и не большой и дорого, но зато потребляет меньше энергии. Но покупая ноутбук с SSD, помните о его ограниченном сроке службы.

ИСТОЧНИК